La méthode EBIOS dans les SI industriels des infrastructures portuaires

Transcription

1 La méthode EBIOS dans les SI industriels des infrastructures portuaires Thierry Maur Architecte CyberSécurité DCNS

2 Activités DCNS le naval de défense, l énergie, La méthode EBIOS dans les SI industriels des infrastructures portuaires / / 2

3 Bases navales, infrastructures portuaires et sites de production Brest / Ile-Longue Maintien en condition opérationnelle de la flotte et énergies marines renouvelables Cherbourg Sous-marins Le Mourillon / Ollioules Systèmes d information et de surveillance Lorient Corvettes, frégates, destroyers Nantes-Indret Sous-marins et R&D Ruelle Sous-marins, simulateurs et formation Saint-Tropez Armes sous-marines Toulon Maintien en condition opérationnelle de la flotte Paris, Bagneux, Issy-les-Moulineaux, Marseille Siège, systèmes d information et de surveillance, énergies marines renouvelables et nucléaire civil L ensemble des sites certifié ISO La méthode EBIOS dans les SI industriels des infrastructures portuaires / / 3 Cherbourg Brest / Ile-Longue Lorient Angoulême- Ruelle Nantes-Indret Paris Bagneux Issy-Les-Moulineaux Marseille Saint-Tropez Toulon / Ollioules

4 Les bases navales assurent une fonction de soutien aux navires Types d'installations qui s'appuient sur des systèmes de contrôles industriels (ICS) systèmes de contrôle et d'acquisition de données (SCADA ) contrôler plusieurs installations distantes géographiquement systèmes numériques de contrôle-commande (DCS ) superviser et contrôler plusieurs sous-systèmes locaux automates programmable industriel (PLC) commander des processus industriels par un traitement séquentiel envoi des ordres vers des actionneurs à partir de données d entrées provenant de capteurs, de consignes et d un programme La méthode EBIOS dans les SI industriels des infrastructures portuaires / / 4

5 Fonctions de soutien pour les navires à quai Energie Fluide Station pompage Manutention sécurisée INBS (Installation Nucléaire Base Secrète) Grue La méthode EBIOS dans les SI industriels des infrastructures portuaires / / 5

6 Les vulnérabilités des SI Industriels «en général» Architecture et implémentation réseau à plat, peu durcit protocoles historiques en clair directives s'opposent : bonnes pratiques (code lisible et commenté, ) vs programmation sécurisée Niveau de connectivité (ouverture du système) ouverture à d autres systèmes déport des postes de supervision et de conduite (espaces mutualisés) maintenance à distance étendue géographique (hors zones protégées) Accessibilité du système Intervenants trés maturs techniquement / encore peu sensibilisés à la Cybersécurité La méthode EBIOS dans les SI industriels des infrastructures portuaires / / 6

7 Comparaison SI Industriel à un SI «traditionnel» Particularités du SI Industriel objectif : conduite d installation (disponibilité) vs traitement des données lieu : entrepôts, usines, lieux isolés, en mer, dans l air, vs bureaux, salles informatiques, intervenants : automaticiens, électrotechniciens, vs informaticiens durée de vie : plus de 10 ans (parfois 30 ou 40 ans) vs environ 5 ans Tordre le cou du mythe de la protection «naturelle» des SI industriels du fait de leur isolement et de leurs particularités techniques de moins en moins vrai, il n est plus nécessaire de pénétrer sur site pour atteindre les systèmes La méthode EBIOS dans les SI industriels des infrastructures portuaires / / 7

8 Démarche de sécurisation des SI industriels Livre blanc sur la défense et la sécurité nationale de 2013, Loi de Programmation Militaire La cybersécurité est un enjeu majeur des quinze années à venir Impérieuse nécessité de protéger les systèmes d importance vitale Prise de conscience le ver Stuxnet (2010) montre que des attaques sur des installations industrielles sensibles peuvent se réaliser Une démarche pour Qui? toutes les industries, datacenters, réseaux de distribution d'électricité «intelligent», systèmes de gestion technique des bâtiments (GTB), de gestion technique centralisée (GTC) et les systèmes embarqués... Une démarche qui s articule avec la PSSI-Armées, EBIOS 2010, ISO27000 et les guides ANSSI PSSI-Armées EBIOS 2010 ISO Mesures détaillées ANSSI La méthode EBIOS dans les SI industriels des infrastructures portuaires / / 8

9 Classification du SI industriel (guides ANSSI) Classe du SI industriel 1, 2 ou 3 La méthode EBIOS dans les SI industriels des infrastructures portuaires / / 9 Matrice de classification du système industriel

10 Guide ANSSI des mesures détaillées Homologuer les nouveaux systèmes industriels critiques Bases de connaissances (contraintes spécifiques, vulnérabilités, mesures par classes et des modes d implémentations) 32 contraintes relatives aux systèmes industriels maitrise des installations, contrats, réglementation, changements, économiques, maturité cyber, vulnérabilités des systèmes industriels 283 Mesures de cybersécurité 122 Mesures organisationnelles (pour l'ensemble des 3 classes) 161 mesures techniques (pour l'ensemble des 3 classes) concerne tout le cycle de vie du SI depuis les études jusqu à la gestion de l obsolescence La méthode EBIOS dans les SI industriels des infrastructures portuaires / / 10

11 Mise en pratique sur les SI industriels des guides ANSSI Détermine une méthodologie cybersécurité pour les SI Industriels conception initiale, évolution, fin de vie, Evalue le niveau de sensibilité du SI Industriel (classe) profondeur de la démarche cyber à mettre en œuvre les objectifs de sécurité Prend les mesures cyber pour remplir les objectifs de sécurité fixés mesure technique / organisationnelle maintenir le niveau de sécurité et continuer de l améliorer (MCS, Veille, Audit, ) La méthode EBIOS dans les SI industriels des infrastructures portuaires / / 11 Maîtriser la SSI pour les systèmes industriels Méthode de classification et mesures principales Mesures détaillées

12 La démarche cybersécurité pour les SI Industriels (en synthèse) La méthode EBIOS dans les SI industriels des infrastructures portuaires / / 12

13 Objectif de sécurité «Clé de voûte» Norme ISO/CEI 27002:2013 Articles 5 à 18 EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité Objectif de sécurité La méthode EBIOS dans les SI industriels des infrastructures portuaires / / 13 FEROS : Fiche d expression rationnelle des objectifs de sécurité de sécurité des systèmes d information

14 Modules EBIOS / Livrables La méthode EBIOS dans les SI industriels des infrastructures portuaires / / 14 FEROS : Fiche d expression rationnelle des objectifs de sécurité de sécurité des systèmes d information PDS : Plan de sécurité Objectif de sécurité

15 Conclusion Questions / réponses / réactions à chaud La méthode EBIOS dans les SI industriels des infrastructures portuaires / / 15